Shoeisha Technology Media

CodeZine(コードジン)

特集ページ一覧

JVN、SSL v3プロトコルの暗号化データを解読される脆弱性を報告

  • ブックマーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加
2014/10/17 14:05

 JPCERT コーディネーションセンターと情報処理推進機構(IPA)が共同で運営するJVN(Japan Vulnerability Notes)は、SSL v3プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)が存在すると10月16日に発表した。

 SSL v3プロトコルに対して、中間者攻撃(Man-In-the-Middle Attack)によって通信内容を解読する攻撃手法である「POODLE(Padding Oracle On Downgraded Legacy Encryption)」が報告されている。

 中間者攻撃を通じてPOODLE攻撃を行う場合、Webブラウザなどに実装されている、上位プロトコルで通信できない場合にプロトコルをダウングレードして通信する機能(protocol downgrade dance)を悪用し、SSL v3で通信を行うように仕向け、SSL v3でブロック暗号のCBCモード暗号化を行っている通信に対して、通信内容を解読する。この手法はパディングオラクル攻撃の一種で、HTTP Cookieなどの情報を取得する方法が用いられる。

 この脆弱性への対策として、各ベンダーが提供している情報に基づくソフトウェアの最新版へのアップデートを求めており、OpenSSL Projectでもこの脆弱性の修正を含むバージョンを公開している。

 なお、サーバまたはクライアント、あるいはその両方でSSL v3を無効にすることでも、この脆弱性に対処できる。


【関連リンク】
JVN
「SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)」

  • ブックマーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加
All contents copyright © 2005-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5